图片马
在图片中加入木马,然后上传让浏览器解析,达到上传木马的目的
制作图片马:可以在notepad++或者winhex中打开文件,在文件头中加入图片的文件头,再在文件末尾加入木马即可。
图片文件头如下:
1.Png图片文件包括8字节:89 50 4E 47 0D 0A 1A 0A。即为 .PNG。
2.Jpg图片文件包括2字节:FF D8。
3.Gif图片文件包括6字节:47 49 46 38 39|37 61 。即为 GIF89(7)a。
4.Bmp图片文件包括2字节:42 4D。即为 BM。
文件包含漏洞
实质:上传一段脚本,让服务端执行
包含:把可重复使用的函数写入到某个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数。
意义:攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
pass-14
看题目环境,打开后看到提示说上传一个图片马,然后使用文件包含漏洞。
1.上传一个图片马并访问
2.使用文件包含漏洞
构造如下url然后访问即可
pass-15
1.上传图片马
getimagesize函数:对目标文件用16进制进行读取文件头的几个字符串是不是符合图片的要求,我们修改文件头为相应的
2.使用文件包含漏洞
pass-16
1.添加扩展(这个由于是自己搭的网站,会出现这种问题)
exif_imagetype()读取一个图像的第一个字节并检查其后缀名。需要在phpstudy的扩展种开启php.exif选项
Exif(Exchangeable image file format)是一种存储在JPEG和TIFF图像文件中的元数据,它包含有关图片的信息。PHP提供了一个名为Exif的扩展,可以方便地读取和处理这些信息
注意:php5.6以上的版本才能成功解析图片木马
2.上传图片马并构造包含的url
url格式为:include.php?file=upload
pass-17(二次渲染+图片马)
二次渲染:你上传的图片内容会被指令覆盖而生成或者改变成其他内容。
1.看源码
上传原本的图片马你会发现能成功上传,但是不能成功解析我们木马,查看源码,源码说会给图片进行二次渲染而生成新的图片
这里值得注意的是二次渲染并不是将所有部分都重新渲染,而是某部分被渲染
2.打开010编辑
将之前上传成功的图片另存,并将其与没有上传的图像进行比较,可以明显看出,我们的木马部分被二次渲染,因为只是渲染部分的缘故,我们将木马插入其中一个没有被渲染的地方(16进制),再进行上传。
3.使用文件包含漏洞,成功。
pass-18(条件竞争)
1.代码审计
这上面说:假如我们上传的是jpg,png,gif类的图,会先被保存到服务器(move_uploaded_file()函数),之后就会被重新命名。反之,unlink()函数会删除这个文件。总体流程是先上传,判断文件名(是否删除文件),再进行重命名和二次渲染。
2.利用条件竞争上传绕过
我们在清理文件时会经常遇到:你打开一个文件,然后再发现你不想要,你想把它删除了,发现删除不了,这是因为你打开的文件尚未关闭,因此删除不了。我们可以里利用这个原理,用bp在它上传之前就访问,就OK了,它的名字叫条件竞争上传绕过。
它的实际操作是:用bp抓包
pass-19(条件竞争+白名单+其他漏洞配合)
1.改源码(作者问题)
2.查看源码
服务器将文件与白名单比较,检查文件类型,大小以及此文件有没有被上传,上传后又要重命名——复杂。
3.看大佬
这关后面调线程,试不出来,有兴趣的试一下。
pass-20(后缀黑名单+函数特性)
1.源码和函数
打开环境,多了一个可以保存名称的框
move_uploaded_file()函数会忽略掉文件末尾的 /.
2.bp抓包
先上传一个PHP小马(修改后缀,不然传不上去),使用bp来抓包修改把后缀改为.php/.用蚁剑连接后即可
pass-21
略